Comment supprimer les appareils Windows Autopilot d'Intune, Entra ID et M365

Commencez par supprimer l'appareil du registre Autopilot dans Intune. Cette étape est cruciale car l'enregistrement Autopilot bloque la suppression de l'ID Entra.

Accédez au centre d'administration Microsoft Intune à https://endpoint.microsoft.com. Allez à Appareils → Inscrire des appareils → Appareils Windows Autopilot.

Utilisez la barre de recherche pour trouver votre appareil par numéro de série ou hachage matériel. Vous pouvez également filtrer par nom d'appareil si vous le connaissez.

# Alternative : Trouver l'appareil via une requête PowerShell Graph
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"
Get-MgDeviceManagementWindowsAutopilotDeviceIdentity | Where-Object {$_.SerialNumber -eq "YOUR_SERIAL_NUMBER"}

Sélectionnez l'appareil dans la liste et cliquez sur Supprimer. Confirmez la suppression lorsque vous y êtes invité.

Vérification : Recherchez à nouveau l'appareil dans la liste des appareils Autopilot. Il ne devrait plus apparaître. La suppression peut prendre quelques minutes pour se propager.

Ensuite, retirez l'appareil de la liste des appareils gérés d'Intune s'il y apparaît. Cette étape met l'appareil à la retraite et le supprime du Portail d'entreprise.

Dans le centre d'administration Intune, accédez à Appareils → Tous les appareils. Recherchez votre appareil par nom, utilisateur ou ID d'appareil.

Sélectionnez l'appareil et cliquez sur Supprimer. Cette action :

• Émettra une commande de mise à la retraite à l'appareil
• Supprimera l'appareil du Portail d'entreprise
• Désinscrira l'appareil de la gestion Intune
• Supprimera les données de l'entreprise (selon vos politiques)

# Alternative PowerShell pour les opérations en masse
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.ReadWrite.All"
$devices = Get-MgDeviceManagementManagedDevice | Where-Object {$_.DeviceName -like "*PATTERN*"}
foreach ($device in $devices) {
    Remove-MgDeviceManagementManagedDevice -ManagedDeviceId $device.Id
    Write-Host "Deleted device: $($device.DeviceName)"
}

Vérification : L'appareil devrait disparaître de la liste Tous les appareils dans les 5 à 10 minutes. Vérifiez l'état de l'appareil avant la suppression - il peut apparaître comme "En attente" pendant le processus de mise à la retraite.

Maintenant que l'enregistrement Autopilot est supprimé, vous pouvez supprimer l'appareil de Entra ID (anciennement Azure AD). Cette étape supprime l'identité de l'appareil et révoque l'accès aux ressources organisationnelles.

Ouvrez le centre d'administration Microsoft Entra à https://entra.microsoft.com. Accédez à Appareils → Tous les appareils.

Recherchez votre appareil par nom, ID de l'appareil ou d'autres attributs. Vous pouvez utiliser des filtres pour affiner les résultats si vous avez de nombreux appareils.

Sélectionnez l'appareil et cliquez éventuellement sur Désactiver d'abord pour bloquer immédiatement l'accès tout en conservant l'enregistrement de l'appareil. Ensuite, cliquez sur Supprimer et confirmez l'action.

# Méthode PowerShell pour la suppression d'appareil Entra ID
Connect-MgGraph -Scopes "Device.ReadWrite.All"

# Trouver l'appareil par nom
$device = Get-MgDevice -Filter "displayName eq 'DEVICE_NAME'"

# Ou trouver par ID de l'appareil
$device = Get-MgDevice -Filter "deviceId eq 'DEVICE_ID'"

# Supprimer l'appareil
Remove-MgDevice -DeviceId $device.Id
Write-Host "Appareil supprimé : $($device.DisplayName) de Entra ID"

Vérification : Recherchez à nouveau l'appareil dans Entra ID. Il ne devrait plus apparaître dans la liste des appareils. Vous pouvez également vérifier en utilisant PowerShell : Get-MgDevice -Filter "displayName eq 'DEVICE_NAME'" ne devrait retourner aucun résultat.

Pour les appareils joints à Azure AD hybride, des étapes supplémentaires sont nécessaires pour empêcher l'appareil de réapparaître en raison de la synchronisation Active Directory.

Tout d'abord, identifiez si votre appareil est joint en mode hybride en vérifiant son type de jonction dans Entra ID. Recherchez "Joint à Azure AD hybride" dans les détails de l'appareil.

Connectez-vous à votre contrôleur de domaine local et ouvrez Active Directory Users and Computers. Naviguez vers le conteneur Computers ou l'OU spécifique où se trouve l'appareil.

# PowerShell pour trouver et supprimer de l'AD local
Import-Module ActiveDirectory

# Trouver l'objet ordinateur
$computer = Get-ADComputer -Filter "Name -eq 'DEVICE_NAME'"

# Supprimer l'objet ordinateur
Remove-ADComputer -Identity $computer.DistinguishedName -Confirm:$false
Write-Host "Deleted $($computer.Name) from on-premises AD"

Cliquez avec le bouton droit sur l'objet ordinateur et sélectionnez Delete. Cela empêche Azure AD Connect de resynchroniser l'appareil.

Attendez le prochain cycle de synchronisation Azure AD Connect (généralement 30 minutes) ou forcez une synchronisation :

# Forcer la synchronisation Azure AD Connect (exécuter sur le serveur de synchronisation)
Start-ADSyncSyncCycle -PolicyType Delta

Vérification : Après la fin de la synchronisation, vérifiez que l'appareil ne réapparaît pas dans Entra ID. Vérifiez à la fois le centre d'administration Entra et exécutez Get-MgDevice -Filter "displayName eq 'DEVICE_NAME'" pour confirmer la suppression permanente.

Parfois, les appareils Autopilot existent en arrière-plan mais n'apparaissent pas dans la console Intune. Utilisez Microsoft Graph Explorer pour trouver et supprimer ces enregistrements orphelins.

Ouvrez Graph Explorer à https://developer.microsoft.com/graph/graph-explorer et connectez-vous avec votre compte administrateur.

Tout d'abord, trouvez l'appareil dans Entra ID pour obtenir son ID d'appareil Azure AD. Exécutez cette requête dans Graph Explorer :

GET https://graph.microsoft.com/v1.0/devices?$filter=displayName eq 'DEVICE_NAME'

Copiez le deviceId de la réponse. Ensuite, recherchez l'enregistrement Autopilot correspondant :

GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities?$filter=azureActiveDirectoryDeviceId eq 'DEVICE_ID'

Si un enregistrement Autopilot est trouvé, notez le id et le serialNumber. Supprimez-le en utilisant :

DELETE https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities/AUTOPILOT_ID

Alternativement, utilisez PowerShell pour les mêmes opérations :

# Trouver l'appareil Autopilot par ID d'appareil Azure AD
$autopilotDevice = Get-MgDeviceManagementWindowsAutopilotDeviceIdentity -Filter "azureActiveDirectoryDeviceId eq 'DEVICE_ID'"

# Supprimer l'enregistrement Autopilot
Remove-MgDeviceManagementWindowsAutopilotDeviceIdentity -WindowsAutopilotDeviceIdentityId $autopilotDevice.Id

Vérification : Relancez la requête Graph pour confirmer que l'enregistrement Autopilot est supprimé. La requête devrait retourner un ensemble de résultats vide.

Pour les organisations avec de nombreux appareils obsolètes, utilisez des scripts PowerShell pour automatiser le processus de suppression sur les trois plateformes.

Tout d'abord, installez les modules PowerShell requis :

# Installer les modules Microsoft Graph
Install-Module Microsoft.Graph.Authentication -Scope CurrentUser
Install-Module Microsoft.Graph.DeviceManagement -Scope CurrentUser
Install-Module Microsoft.Graph.Identity.DirectoryManagement -Scope CurrentUser

Créez un fichier texte avec les noms des appareils (un par ligne) et enregistrez-le sous devices.txt. Ensuite, exécutez ce script complet :

# Se connecter avec les autorisations requises
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.ReadWrite.All", "DeviceManagementServiceConfig.ReadWrite.All", "Device.ReadWrite.All"

# Lire la liste des appareils
$deviceNames = Get-Content "C:\temp\devices.txt"

foreach ($deviceName in $deviceNames) {
    Write-Host "Traitement de l'appareil : $deviceName" -ForegroundColor Yellow
    
    # Étape 1 : Trouver et supprimer l'enregistrement Autopilot
    $autopilotDevice = Get-MgDeviceManagementWindowsAutopilotDeviceIdentity | Where-Object {$_.DisplayName -eq $deviceName}
    if ($autopilotDevice) {
        Remove-MgDeviceManagementWindowsAutopilotDeviceIdentity -WindowsAutopilotDeviceIdentityId $autopilotDevice.Id
        Write-Host "  Supprimé d'Autopilot" -ForegroundColor Green
    }
    
    # Étape 2 : Trouver et supprimer des appareils gérés par Intune
    $intuneDevice = Get-MgDeviceManagementManagedDevice | Where-Object {$_.DeviceName -eq $deviceName}
    if ($intuneDevice) {
        Remove-MgDeviceManagementManagedDevice -ManagedDeviceId $intuneDevice.Id
        Write-Host "  Supprimé d'Intune" -ForegroundColor Green
    }
    
    # Étape 3 : Trouver et supprimer d'Entra ID
    $entraDevice = Get-MgDevice -Filter "displayName eq '$deviceName'"
    if ($entraDevice) {
        Remove-MgDevice -DeviceId $entraDevice.Id
        Write-Host "  Supprimé d'Entra ID" -ForegroundColor Green
    }
    
    Start-Sleep -Seconds 2  # Limitation de débit
}

Vérification : Après avoir exécuté le script, vérifiez quelques appareils pour vous assurer qu'ils sont supprimés des trois emplacements. Vous pouvez également exécuter un rapport récapitulatif : Get-MgDeviceManagementWindowsAutopilotDeviceIdentity | Where-Object {$_.DisplayName -in $deviceNames}

Avant de terminer le processus de suppression de l'appareil, gérez les clés de récupération BitLocker et d'autres dépendances qui pourraient être orphelines.

Les clés de récupération BitLocker sont stockées dans Entra ID et doivent être sauvegardées avant la suppression de l'appareil. Accédez à l'appareil dans Entra ID et vérifiez les clés BitLocker dans les détails de l'appareil.

# Exporter les clés BitLocker avant la suppression
Connect-MgGraph -Scopes "BitLockerKey.Read.All", "Device.Read.All"

$device = Get-MgDevice -Filter "displayName eq 'DEVICE_NAME'"
$bitlockerKeys = Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$($device.DeviceId)'"

foreach ($key in $bitlockerKeys) {
    $keyDetails = Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $key.Id
    Write-Host "Appareil : $($device.DisplayName)"
    Write-Host "ID de clé : $($key.Id)"
    Write-Host "Clé de récupération : $($keyDetails.Key)"
    Write-Host "Créé : $($key.CreatedDateTime)"
    Write-Host "---"
}

Vérifiez d'autres dépendances qui pourraient nécessiter un nettoyage :

• Politiques de conformité : Supprimez les affectations de conformité spécifiques à l'appareil
• Profils de configuration : Nettoyez les configurations ciblées sur l'appareil
• Affectations d'applications : Supprimez les déploiements d'applications spécifiques à l'appareil
• Accès conditionnel : Mettez à jour les politiques CA basées sur l'appareil

# Vérifiez les politiques assignées (nécessite des portées Graph supplémentaires)
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All"

# Obtenez les politiques de conformité des appareils
$compliancePolicies = Get-MgDeviceManagementDeviceCompliancePolicy
foreach ($policy in $compliancePolicies) {
    $assignments = Get-MgDeviceManagementDeviceCompliancePolicyAssignment -DeviceCompliancePolicyId $policy.Id
    # Vérifiez si l'appareil est spécifiquement ciblé
}

Vérification : Confirmez que les clés BitLocker sont sauvegardées et qu'aucune politique critique n'est rompue après la suppression de l'appareil. Vérifiez les rapports Intune pour toute erreur d'affectation qui pourrait indiquer des références orphelines.

Effectuez une vérification finale pour vous assurer que l'appareil est complètement supprimé de toutes les plateformes Microsoft et ne causera pas de conflits futurs.

Exécutez ces commandes de vérification pour confirmer la suppression complète :

# Script de vérification complet
Connect-MgGraph -Scopes "Device.Read.All", "DeviceManagementManagedDevices.Read.All", "DeviceManagementServiceConfig.Read.All"

$deviceName = "YOUR_DEVICE_NAME"

# Vérifier Entra ID
$entraCheck = Get-MgDevice -Filter "displayName eq '$deviceName'"
if ($entraCheck) {
    Write-Host "AVERTISSEMENT : L'appareil existe toujours dans Entra ID" -ForegroundColor Red
} else {
    Write-Host "✓ Appareil supprimé de Entra ID" -ForegroundColor Green
}

# Vérifier les appareils gérés par Intune
$intuneCheck = Get-MgDeviceManagementManagedDevice | Where-Object {$_.DeviceName -eq $deviceName}
if ($intuneCheck) {
    Write-Host "AVERTISSEMENT : L'appareil existe toujours dans Intune" -ForegroundColor Red
} else {
    Write-Host "✓ Appareil supprimé de Intune" -ForegroundColor Green
}

# Vérifier Autopilot
$autopilotCheck = Get-MgDeviceManagementWindowsAutopilotDeviceIdentity | Where-Object {$_.DisplayName -eq $deviceName}
if ($autopilotCheck) {
    Write-Host "AVERTISSEMENT : L'appareil existe toujours dans Autopilot" -ForegroundColor Red
} else {
    Write-Host "✓ Appareil supprimé de Autopilot" -ForegroundColor Green
}

Write-Host "Vérification complète pour l'appareil : $deviceName"

De plus, vérifiez manuellement ces emplacements :

• Centre d'administration Microsoft 365 : Allez dans Appareils → Appareils actifs pour vous assurer que l'appareil n'apparaît pas
• Centre de sécurité et conformité : Vérifiez les rapports de conformité des appareils
• Analytique des points de terminaison : Vérifiez que l'appareil est supprimé des performances de démarrage et d'autres rapports

Pour les environnements hybrides, vérifiez également sur site :

# Vérifier AD sur site (exécuter sur le contrôleur de domaine)
Import-Module ActiveDirectory
$adCheck = Get-ADComputer -Filter "Name -eq '$deviceName'" -ErrorAction SilentlyContinue
if ($adCheck) {
    Write-Host "AVERTISSEMENT : L'appareil existe toujours dans AD sur site" -ForegroundColor Red
} else {
    Write-Host "✓ Appareil supprimé de AD sur site" -ForegroundColor Green
}

Vérification : Toutes les vérifications doivent retourner des confirmations vertes. Documentez la suppression réussie avec des horodatages à des fins d'audit. L'appareil ne devrait pas réapparaître sur aucune plateforme Microsoft dans les 24 heures.